SysAdmin 24x7

Vulnerabilidad SQLi en Zimbra Collaboration Suite

Fecha 11/02/2025
Importancia 5 - Crítica

Recursos Afectados
Zimbra Collaboration Suite, versiones anteriores a:
9.0.0 Patch 44
10.0.13
10.1.5

Descripción
El investigador byc_404 (Joe Zhou) ha descubierto una vulnerabilidad de tipo SQLi en el endpoint SOAP del Servicio ZimbraSync en Zimbra Collaboration que podría permitir a un atacante acceder a metadatos de los correos.

Solución
Actualizar Zimbra Collaboration Suite a las versiones:
9.0.0 Patch 44
10.0.13
10.1.5

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-sqli-en-zimbra-collaboration-suite

Problema de autorización en productos Apple

Fecha 11/02/2025
Importancia 4 - Alta

Recursos Afectados
iPhone XS y versiones posteriores,
iPad Pro 13 pulgadas,
iPad Pro 12.9 pulgadas 2ª generación y posteriores,
iPad Pro 11 pulgadas 1ª generación y posteriores,
iPad Pro 10.5 pulgadas,
iPad 6ª generación y posteriores,
iPad Air 3ª generación y posteriores,
iPad mini 5ª generación y posteriores,

Descripción
Bill Marczak de The Citizen Lab en la Escuela Munk de la Universidad de Toronto ha descubierto esta vulnerabilidad que afecta a la gestión de estados.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/problema-de-autorizacion-en-productos-apple

Actualización de seguridad de SAP de febrero de 2025

Fecha 11/02/2025
Importancia 4 - Alta

Recursos Afectados
SAP NetWeaver AS Java (User Admin Application), versión: 7.50;
SAP BusinessObjects Business Intelligence platform (Central Management Console), versiones: ENTERPRISE 430, 2025;
SAP Supplier Relationship Management (Master Data Management Catalog), versión: SRM_MDM_CAT 7.52;
@sap/approuter, versiones: 2.6.1 a 16.7.1;
SAP Enterprise Project Connection, versión: 3.0;
SAP HANA extended application services, advanced model (User Account and Authentication Services), versión: SAP_EXTENDED_APP_SERVICES 1;
SAP Commerce, versión: HY_COM 2205, COM_CLOUD 2211;
SAP Commerce (Backoffice), versión: HY_COM 2205, COM_CLOUD 2211;
SAP BusinessObjects Platform (BI Launchpad), versión: ENTERPRISE 430, 2025;
SAP GUI for Windows, versión: BC-FES-GUI 8.00;
SAP Commerce Cloud, versiones: HY_COM 2205, COM_CLOUD 2211;
SAP NetWeaver Application Server Java, versiones: EP-BASIS 7.50, FRAMEWORK-EXT 7.50;
SAP Fiori Apps Reference Library (My Overtime Requests), versión: GBX01HR5 605;
SAP NetWeaver and ABAP Platform (SDCCN), versiones: ST-PI 2008_1_700, ST-PI 2008_1_710, ST-PI 740;
SAP NetWeaver Server ABAP, versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758;
SAP NetWeaver AS Java for Deploy Service, versión: ENGINEAPI 7.50, SERVERCORE 7.50;
SAP NetWeaver Application Server Java, versión: WD-RUNTIME 7.50;
SAP ABAP Platform (ABAP Build Framework), versiones: SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758;
SAP NetWeaver and ABAP platform (ST-PI), versión: ST-PI 2008_1_700, ST-PI 2008_1_710, ST-PI 740;
SAP Fiori for SAP ERP, versión: SAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757, 758.

Descripción
SAP ha publicado su boletín mensual en el que se incluyen 19 vulnerabilidades: 5 de severidad alta, 13 medias y una baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante obtener acceso ilegítimo al sistema mediante la explotación de comprobaciones de autenticación incorrectas, o anular la autenticación.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-febrero-de-2025

Boletín de seguridad de Android: febrero de 2025

Fecha 04/02/2025
Importancia 4 - Alta

Recursos Afectados
Android Open Source Project (AOSP): versiones 12, 12L, 13, 14 y 15 (framework, plataforma y sistema).
Google Play.
Subcomponentes UVC y mremap del Kernel.
Componentes de Arm, Imagination Technologies, MediaTek, Unisoc y Qualcomm.

Descripción
El boletín de Android, relativo a febrero de 2025, soluciona múltiples vulnerabilidades de severidades críticas y altas que afectan a su sistema operativo, así como a diversos componentes, y que podrían provocar graves problemas como escalada de privilegios, ejecución remota de código, corrupción de memoria, caída del sistema, ganar acceso no autorizado a información sensible.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/boletin-de-seguridad-de-android-febrero-de-2025

Modificación controlada incorrectamente de atributos en Django-Unicorn

Fecha 04/02/2025
Importancia 5 - Crítica

Recursos Afectados
Django-unicorn: versiones anteriores a 0.62.0.

Descripción
Superboy-zjc y Jackfromeast han reportado una vulnerabilidad de severidad crítica que, de ser explotada, podría permitir un ataque de secuencia de comandos entre sitios (XSS), denegación de servicio (DoS) y omisión de autenticación en casi todas las aplicaciones.

Solución
Actualizar a la versión parcheada 0.62.0.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/modificacion-controlada-incorrectamente-de-atributos-en-django-unicorn

Múltiples vulnerabilidades en productos de Netgear

Fecha 03/02/2025
Importancia 5 - Crítica

Recursos Afectados
Versiones de firmware anteriores a:
WAX206 1.0.5.3;
WAX220 1.0.3.5;
WAX214v2 1.0.2.5;
XR1000 1.0.0.74;
XR1000v2 1.1.0.22;
XR500 2.3.2.134.

Descripción
Netgear ha publicado dos vulnerabilidades de severidad crítica de explotación remota de código (RCE) que afectan al firmware de varios de sus productos.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-netgear

VMSA-2025-0003: VMware Aria Operations for Logs and VMware Aria Operations updates address multiple vulnerabilities (CVE-2025-22218, CVE-2025-22219, CVE-2025-22220, CVE-2025-22221 and CVE-2025-22222)

Advisory ID:
VMSA-2025-0003

Advisory Severity: Important
CVSSv3 Range: 5.2-8.5
Synopsis: VMware Aria Operations for Logs and VMware Aria Operations updates address multiple vulnerabilities (CVE-2025-22218, CVE-2025-22219, CVE-2025-22220, CVE-2025-22221, CVE-2025-22222)
Issue date: 2025-01-30
CVE(s): CVE-2025-22218, CVE-2025-22219, CVE-2025-22220, CVE-2025-22221, CVE-2025-22222

Impacted Products
VMware Aria Operations for logs
VMware Aria Operations
VMware Cloud Foundation

Introduction
Multiple vulnerabilities in VMware Aria Operations for logs and VMware Aria Operations were privately reported to VMware. Patches are available to remediate these vulnerabilities in the affected VMware products.

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25329

Múltiples vulnerabilidades en BIND 9

Fecha 30/01/2025
Importancia 4 - Alta

Recursos Afectados
Versiones afectadas por la vulnerabilidad CVE-2024-11187 (no se evaluaron las versiones anteriores a 9.11.37):
desde 9.11.0 hasta 9.11.37;
desde 9.16.0 hasta 9.16.50;
desde 9.18.0 hasta 9.18.32;
desde 9.20.0 hasta 9.20.4;
desde 9.21.0 hasta 9.21.3.
Versiones afectadas por la vulnerabilidad CVE-2024-12705 (no se evaluaron las versiones anteriores a la 9.18.27):
desde 9.18.0 hasta 9.18.32;
desde 9.20.0 hasta 9.20.4;
desde 9.21.0 hasta 9.21.3.

Descripción
BIND ha publicado 2 vulnerabilidades de severidad alta que, de ser explotadas, podrían degradar el rendimiento del servidor autorizado o provocar un alto uso de la CPU o de la memoria.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-bind-9-1

Ejecución remota de comandos de preautenticación en SMA1000 de SonicWall

Fecha 29/01/2025
Importancia 5 - Crítica

Recursos Afectados
Dispositivos SMA1000 (AMC) y la consola de administración central (CMC): versiones 12.4.3-02804 (platform-hotfix) y anteriores.

Descripción
El centro de inteligencia sobre amenazas de Microsoft (MSTIC) ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto, no autenticado, ejecutar comandos arbitrarios en el sistema operativo.
SonicWall PSIRT informa que han sido notificados de una posible explotación activa de la vulnerabilidad mencionada por parte de actores de amenazas.

Solución
Actualizar a la versión 12.4.3-02854 (platform-hotfix) y versiones superiores.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-comandos-de-preautenticacion-en-sma1000-de-sonicwall

VMSA-2025-0002: VMware Avi Load Balancer addresses an unauthenticated blind SQL Injection vulnerability (CVE-2025-22217)

Advisory ID: VMSA-2024-0002
Severity: Important
CVSSv3 Range: 8.6

Synopsis:
VMware Avi Load Balancer addresses an unauthenticated blind SQL Injection vulnerability (CVE-2025-22217)

Issue date: 2025-01-28
CVE(s) CVE-2025-22217

Impacted Products
VMware Avi Load Balancer

Introduction
Avi Load Balancer contains an unauthenticated blind SQL Injection vulnerability which was privately reported to VMware. Patches are available to remediate this vulnerability in affected VMware products.

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25346

Múltiples vulnerabilidades en impresoras Canon

Fecha 28/01/2025
Importancia 5 - Crítica

Recursos Afectados
i-SENSYS LBP631Cw
i-SENSYS LBP633Cdw
i-SENSYS MF651Cw
i-SENSYS MF655Cdw
i-SENSYS MF657Cdw

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-impresoras-canon

Telegram captcha tricks you into running malicious PowerShell scripts

Threat actors on X are exploiting the news around Ross Ulbricht to direct unsuspecting users to a Telegram channel that tricks them into run PowerShell code that infects them with malware.

The attack, spotted by vx-underground, is a new variant of the "Click-Fix" tactic that has become very popular among threat actors to distribute malware over the past year.

https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/

Cisco Meeting Management REST API Privilege Escalation Vulnerability

Advisory ID: cisco-sa-cmm-privesc-uy2Vf8pc
First Published: 2025 January 22 16:00 GMT

Workarounds: No workarounds available
Cisco Bug IDs: CSCwi88558
CVE-2025-20156
CWE-274
CVSS Score: Base 9.9

Management could allow a remote, authenticated attacker with low privileges to elevate privileges to administrator on an affected device.

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmm-privesc-uy2Vf8pc

CVE-2025-0411: 7-Zip Security Vulnerability Enables Code Execution – Update Now

https://securityonline.info/cve-2025-0411-7-zip-security-vulnerability-enables-code-execution-update-now/

Acceso no autorizado en redes de HPE Aruba

Fecha 23/01/2025
Importancia 5 - Crítica

Recursos Afectados
HPE Aruba Networking:
EdgeConnect SD-WAN Gateway: todas las versiones de software compatibles.
EdgeConnect SD-WAN Orchestrator: todas las versiones de software compatibles.
Switches que ejecutan AOS-CX: todas las versiones de software compatibles.
WLAN Gateways y SD-WAN Gateways que ejecutan AOS-10: versiones AOS-10.6.0.2, AOS-10.4.1.3 y anteriores a ambas versiones.
Mobility Controllers que ejecutan AOS-8: versiones AOS-8.12.0.1 y AOS-8.10.0.13 y anteriores a ambas versiones.
Access Points que ejecutan Instant AOS-8 y AOS-10: todas las versiones de software compatibles.
Airwave Management Platform: versiones 8.3.0.2 y anteriores.
ClearPass Policy Manager: versiones 8.3.0.2 y 8.3.0.2 y anteriores a ambas versiones.
Aruba Fabric Composer: versiones 7.1.0 y anteriores.
HPE Networking Instant On: switches de la serie 1930 y 1960 que ejecutan la versión de firmware 3.0.0.0 y anteriores en modo local.
Para más información sobre las versiones afectas, se recomienda consultar el aviso oficial.

Descripción
HPE ha publicado una vulnerabilidad de severidad crítica que podría permitir a los atacantes acceder a recursos de red confidenciales sin autenticación.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/acceso-no-autorizado-en-redes-de-hpe-aruba

Escalada de privilegios en Meeting Management de Cisco

Fecha 23/01/2025
Importancia 5 - Crítica

Recursos Afectados
Esta vulnerabilidad afecta a Cisco Meeting Management, independientemente de la configuración del dispositivo. Para obtener información sobre qué versiones de software de Cisco son vulnerables, consulte la sección " Fixed Software" del aviso enlazado en referencias.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/escalada-de-privilegios-en-meeting-management-de-cisco

Adobe Releases Security Updates for Multiple Products

Release DateJanuary 14, 2025

Adobe released security updates to address vulnerabilities in multiple Adobe software products including Adobe Photoshop, Animate, and Illustrator for iPad. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system.

CISA encourages users and administrators to review the following Adobe Security Bulletin and apply necessary updates:

Adobe Product Security Updates for January

https://www.cisa.gov/news-events/alerts/2025/01/14/adobe-releases-security-updates-multiple-products

https://helpx.adobe.com/security/security-bulletin.html

Ivanti Releases Security Updates for Multiple Products

Release DateJanuary 14, 2025

Ivanti released security updates to address vulnerabilities in Ivanti Avalanche, Ivanti Application Control Engine, and Ivanti EPM.

CISA encourages users and administrators to review the following Ivanti security advisories and apply the necessary guidance and updates:

Ivanti Avalanche
Ivanti Application Control Engine
Ivanti EPM

https://www.cisa.gov/news-events/alerts/2025/01/14/ivanti-releases-security-updates-multiple-products

Fortinet Releases Security Updates for Multiple Products

Release DateJanuary 14, 2025
Fortinet released security updates to address vulnerabilities in multiple Fortinet products. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system.

CISA encourages users and administrators to review the following and apply necessary updates:

Fortinet Security Updates

https://www.cisa.gov/news-events/alerts/2025/01/14/fortinet-releases-security-updates-multiple-products

Microsoft
January 2025 Security Updates

https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan

Vulnerabilidad de omisión de autenticación en routers Netgear

Fecha 14/01/2025
Importancia 5 - Crítica

Recursos Afectados
La vulnerabilidad afecta a los siguientes routers de Netgear:
NETGEAR DGN1000: versiones de firmware anteriores a la 1.1.00.48.
NETGEAR DGN2200 v1: todas las versiones de firmware (no soportadas en la actualidad).
Otros dispositivos NETGEAR y versiones de firmware también pueden ser vulnerables, aunque no se han realizado pruebas exhaustivas.

Descripción
Netgear ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto obtener acceso no autorizado y control sobre los dispositivos.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-omision-de-autenticacion-en-routers-netgear

Actualización de seguridad de SAP de enero de 2025

Fecha 14/01/2025
Importancia 5 - Crítica

Recursos Afectados
Servidor de aplicaciones SAP NetWeaver para ABAP y plataforma ABAP, versiones: KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13 y 9.14;
SAP NetWeaver AS para ABAP y plataforma ABAP (Internet Communication Framework), versiones: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913 y SAP_BASIS 914;
SAP BusinessObjects Business Intelligence Platform, versiones: ENTERPRISE 420, 430 y 2025;
SAPSetup, Versión: LMSAPSETUP 9.0.

Descripción
SAP ha publicado su boletín mensual en el que se incluyen 13 vulnerabilidades, 2 de severidad crítica, 3 altas y el resto medias y bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante acceder a información restringida u obtener acceso ilegítimo al sistema mediante la explotación de comprobaciones de autenticación incorrectas.

Solución
SAP recomienda encarecidamente que el cliente visite el portal de Soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-enero-de-2025

Múltiples vulnerabilidades en la plataforma PMB

Fecha 14/01/2025
Importancia 5 - Crítica

Recursos Afectados
Las siguientes versiones de la plataforma PMB están afectadas:
versiones 4.2.13 e inferiores;
versiones 4.0.10 y superiores.

Descripción
INCIBE ha coordinado la publicación de 3 vulnerabilidades: 1 de severidad crítica, 1 de severidad alta y 1 de severidad media que afectan a la plataforma PMB, las cuales han sido descubiertas por Pau Valls Peleteiro.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-0471: CVSS v3.1: 9.9 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H | CWE-434.
CVE-2025-0472: CVSS v3.1: 7.5 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-200.
CVE-2025-0473: CVSS v3.1: 6.5 | CVSS AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H | CWE-459.

Solución
No hay solución reportada por el momento.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-la-plataforma-pmb

Múltiples vulnerabilidades en productos SonicWall

Fecha 10/01/2025
Importancia 5 - Crítica

Recursos Afectados
Los productos afectados por la vulnerabilidad crítica CVE-2024-53704 son:
Firewalls de la serie Gen7, TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700 y NSsp 15700: versiones 7.1.x (7.1.1-7058 anteriores), y versión 7.1.2-7019.
Gen7 NSv, NSv 270, NSv 470 y NSv 870: versiones 7.1.x (7.1.1-7058 anteriores), y versión 7.1.2-7019.
TZ80: versión 8.0.0-8035.
El resto de productos afectados por las vulnerabilidades de severidad no crítica, puede consultarse en las referencias.

Descripción
Daan Keuper, Thijs Alkemade y Khaled Nassar de Computest Security a través de Trend Micro (Zero Day Initiative), han reportado 4 vulnerabilidades: 1 de severidad crítica, 2 de severidad alta y 1 media, cuya explotación podría permitir a un atacante eludir los mecanismos de autenticación, elevar privilegios o ejecutar código.

Solución
SonicWall recomienda actualizar los productos afectados a las versiones de software:
Gen6 Hardware Firewalls: 6.5.5.1-6n y superiores.
Gen7 NSv: 7.0.1-5165 y superiores.
Gen7 Firewalls: 7.1.3-701 y superiores.
TZ80: 8.0.0-8037 y superiores.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-sonicwall

Múltiples vulnerabilidades en productos MediaTek

Fecha 09/01/2025
Importancia 5 - Crítica

Recursos Afectados
La vulnerabilidad crítica, que afecta a las versiones de software de Modem LR12A, LR13, NR15, NR16.R1.MP, NR16.R1.MP1MP2.MP, NR16.R2.MP, está presente en los siguientes chipsets:
MT2735;MT6767;MT6768;MT6769;MT6769K;MT6769S;MT6769T;MT6769Z;MT6779;MT6781;MT6783;MT6785;MT6785T;MT6785U;MT6789;MT6833P;MT6853;MT6853T;MT6855;MT6855T;MT6873;MT6875;MT6875T;MT6877;MT6877T;MT6877TT;MT6880;MT6880T;MT6880U;MT6883;MT6885;MT6889;MT6890;MT6891;MT6893;MT8666;MT8673;MT8675;MT8765;MT8766;MT8768;MT8771;MT8781;MT8786;MT8788;MT8788E;MT8789;MT8791T;MT8795T;MT8797;MT8798.

Descripción
La publicación de actualizaciones de seguridad de MediaTek, correspondiente al mes de enero, consta de 13 vulnerabilidades, calificadas: 1 como crítica, 7 altas y 5 medias.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-mediatek

Múltiples vulnerabilidades en productos de Ivanti

Fecha 09/01/2025
Importancia 5 - Crítica

Recursos Afectados
Ivanti Connect Secure:
CVE-2025-0282: desde 22.7R2 hasta 22.7R2.4.
CVE-2025-0283:
22.7R2.4 y anteriores.
9.1R18.9 y anteriores.
Ivanti Policy Secure:
CVE-2025-0282: desde 22.7R1 hasta 22.7R1.2.
CVE-2025-0283: 22.7R1.2 y anteriores.
Ivanti Neurons for ZTA gateways:
CVE-2025-0282: desde 22.7R2 hasta 22.7R2.3.
CVE-2025-0283: 22.7R2.3 y anteriores.

Descripción
Ivanti ha publicado 2 vulnerabilidades de severidades crítica y alta que afectan a Ivanti Connect Secure, Policy Secure y ZTA gateways, y podrían provocar la ejecución remota de código no autenticado o que un atacante local autenticado aumente los privilegios.

En el momento de la divulgación de este aviso, la empresa afectada tiene conocimiento de que una cantidad limitada de dispositivos Ivanti Connect Secure de clientes están siendo explotados por la vulnerabilidad crítica CVE-2025-0282.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-ivanti-1

[Actualización 02/01/2025]
Ejecución remota de código en Apache Tomcat

Fecha 18/12/2024
Importancia 5 - Crítica

Recursos Afectados
Apache Tomcat, versiones:
desde 11.0.0-M1 hasta 11.0.1;
desde 10.1.0-M1 hasta 10.1.33;
desde 9.0.0.M1 hasta 9.0.97.

Descripción
Nacl, WHOAMI, Yemoli y Ruozhi han descubierto una vulnerabilidad de severidad crítica en Apache Tomcat que podría permitir la ejecución remota de código.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-apache-tomcat

Inyección SQL en Traffic Ops de Apache Traffic Control

Fecha 26/12/2024
Importancia 5 - Crítica

Recursos Afectados
Traffic Ops en Apache Traffic Control, en las versiones comprendidas entre la 8.0.0 y la 8.0.1.

Descripción
Yuan Luo, del Laboratorio de Seguridad YunDing de Tencent, ha informado de una vulnerabilidad de severidad crítica que de ser explotada podría permitir la ejecución de sentencias SQL arbitrarias.

Solución
Se recomienda a los usuarios que actualicen a la versión Apache Traffic Control 8.0.2.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/inyeccion-sql-en-traffic-ops-de-apache-traffic-control

Thai Officials Targeted in Yokai Backdoor Campaign Using DLL Side-Loading Techniques

Thai government officials have emerged as the target of a new campaign that leverages a technique called DLL side-loading to deliver a previously undocumented backdoor dubbed Yokai.

https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

Vulnerabilidad de ejecución remota de código en Webmin

Fecha 23/12/2024
Importancia 5 - Crítica

Recursos Afectados
Webmin, versión sin especificar.

Descripción
Ptrstr ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar código arbitrario.

Solución
Webmin ha publicado una actualización para corregir esta vulnerabilidad.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-ejecucion-remota-de-codigo-en-webmin

Múltiples vulnerabilidades en Sophos Firewall

Fecha 23/12/2024
Importancia 5 - Crítica

Recursos Afectados
Sophos Firewall, versiones (21.0.0) y anteriores.

Descripción
Un investigador de seguridad a través del programa de recompensas de Sophos junto al equipo de seguridad de Sophos, han reportado 3 vulnerabilidades, 2 de ellas de severidad crítica y 1 de severidad alta. La explotación de estas vulnerabilidades podría permitir la escalada de privilegios o la ejecución remota de código.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-sophos-firewall

Limitación incorrecta de una ruta a un directorio restringido en FortiWLM de Fortinet

Fecha 19/12/2024
Importancia 5 - Crítica

Recursos Afectados
Las siguientes versiones de FortiWLM están afectadas:
8.6.0 hasta 8.6.5;
8.5.0 hasta 8.5.4.

Descripción
Zach Hanley (@hacks_zach), de Horizon3.ai, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto no autenticado leer archivos sensibles en la suite de aplicaciones FortiWLM.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/limitacion-incorrecta-de-una-ruta-un-directorio-restringido-en-fortiwlm-de

Inyección de comandos en productos BeyondTrust

Fecha 18/12/2024
Importancia 5 - Crítica

Recursos Afectados
Todas las versiones 24.3.1 y anteriores de:
Privileged Remote Access (PRA);
Remote Support (RS).

Descripción
BeyondTrust ha publicado una vulnerabilidad de severidad crítica que afecta a Privileged Remote Access (PRA) y Remote Support (RS), y que de ser explotada podría permitir a un atacante, no autenticado, inyectar comandos que se ejecutan como un usuario con permisos en el software.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/inyeccion-de-comandos-en-productos-beyondtrust

Ejecución remota de código en Apache Tomcat

Fecha 18/12/2024
Importancia 5 - Crítica

Recursos Afectados
Apache Tomcat, versiones:
desde 11.0.0-M1 hasta 11.0.1;
desde 10.1.0-M1 hasta 10.1.33;
desde 9.0.0.M1 hasta 9.0.97.

Descripción
Nacl, WHOAMI, Yemoli y Ruozhi han descubierto una vulnerabilidad de severidad crítica en Apache Tomcat que podría permitir la ejecución remota de código.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-apache-tomcat

Vulnerabilidad XSS en GLPI

Fecha 12/12/2024
Importancia 5 - Crítica

Recursos Afectados
GLPI, versiones desde 9.5.0 hasta la anterior a 10.0.17.

Descripción
GLPI ha reportado una vulnerabilidad de severidad crítica de tipo XSS que, de ser explotada, podría permitir a un atacante comprometer cualquier sesión válida.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-xss-en-glpi

Ejecución remota de código en Apache Struts

Fecha 12/12/2024
Importancia 5 - Crítica

Recursos Afectados
Versiones de Struts:
desde 2.0.0 hasta 2.3.37 (EoL);
desde 2.5.0 hasta 2.5.33;
desde 6.0.0 hasta 6.3.0.2.
Descripción
Confluence ha publicado una vulnerabilidad crítica que afecta a Apache Struts y que de ser explotada podría permitir la ejecución remota de código.

Solución
Actualizar Struts a las versiones 6.4.0 o superiores y emplear Action File Upload Interceptor.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-apache-struts

Múltiples vulnerabilidades en productos Ivanti

Fecha 11/12/2024
Importancia 5 - Crítica

Recursos Afectados
Ivanti Cloud Services Application (CSA), versiones 5.0.2 y anteriores.
Ivanti Desktop and Server Management (DSM), versión 2024.2.
Ivanti Connect Secure (ICS), versiones 22.7R2.3 y anteriores.
Ivanti Policy Secure (IPS), versiones 22.7R1.1 y anteriores.
Ivanti Sentry, versiones:
9.20.1 y anteriores;
10.0.1 y anteriores.
Ivanti Endpoint Manager (EPM), versiones:
2024 September Security Update y anteriores;
2022 SU6 y anteriores.
Ivanti Security Controls (iSec), versiones 2024.3.2 (9.6.9365.0) y anteriores.
Ivanti Patch for Configuration Manager, versiones 2024.3 (2.5.1058) y anteriores.
Ivanti Neurons for Patch Management, versiones 2024.3 (1.1.55.0) y anteriores.
Ivanti Neurons Agent Platform, versiones 2024.1 (9.6.771) y anteriores.

Descripción
Ivanti ha publicado múltiples avisos que recogen un total de 11 vulnerabilidades, de las cuales 5 tienen severidad crítica y 6 altas. La explotación de estas vulnerabilidades podría permitir a un atacante escalar privilegios, ejecutar código remoto, inyectar SQL, omitir el proceso de autenticación en el dispositivo afectado y eliminar archivos arbitrarios, entre otras acciones.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-ivanti-4

Microsoft
December 2024 Security Updates

https://msrc.microsoft.com/update-guide/releaseNote/2024-Dec

Adobe Product Security Incident Response Team

Latest Product Security Updates
Review the latest information about available product updates as well as guidance on security issues reported about our products.

https://helpx.adobe.com/security.html

Actualización de seguridad de SAP de diciembre de 2024

Fecha 10/12/2024
Importancia 5 - Crítica

Recursos Afectados
SAP NetWeaver AS para JAVA (Adobe Document Services), versión ADSSSAP 7.50.
SAP NetWeaver Administrator (System Overview), versión LM-CORE 7.50
SAP NetWeaver AS JAVA, versión LM-CORE 7.50
SAP Web Dispatcher, versiones:
WEBDISP 7.77, 7.89, 7.93;
KERNEL 7.77, 7.89, 7.93, 9.12, 9.13.
SAP NetWeaver Application Server ABAP, versiones:
KRNL64NUC 7.22, 7.22EXT;
KRNL64UC 7.22, 7.22EXT, 7.53;
KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93.
SAP NetWeaver Application Server para ABAP y ABAP Platform, versiones:
KRNL64NUC 7.22 y 7.22EXT;
KRNL64UC 7.22, 7.22EXT, 7.53 y 8.04;
KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12 y 9.13;
SAP_BASIS 740 y 750.
SAP BusinessObjects Business Intelligence platform, versiones: ENTERPRISE 430 y 2025.
SAP HCM, versión S4HCMGXX 101.
SAP Product Lifecycle Costing, versión: PLC_CLIENT 4.
SAP Commerce Cloud, versiones:
HY_COM 2205;
COM_CLOUD 2211.

Descripción
SAP ha publicado su boletín mensual en el que se incluyen 10 vulnerabilidades, una de severidad crítica, dos altas y el resto medias y bajas. Además, se actualizan 3 vulnerabilidades, dos con severidad alta y una media. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante comprometer los sistemas afectados.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-diciembre-de-2024

Múltiples vulnerabilidades en productos Dell

Fecha 10/12/2024
Importancia 5 - Crítica

Recursos Afectados
Dell PowerFlex:
Intelligent Catalog, versiones anteriores a:
46.381.00;
46.376.00.
Release Certification Matrix, versiones anteriores a:
3.8.1.0;
3.7.6.0.
PowerFlex Manager, versiones anteriores a 4.6.1.0.
Dell InsightIQ, versiones anteriores a 5.1.1.
Dell Data Lakehouse, versiones anteriores a 1.2.0.0.

Descripción
Dell ha publicado información sobre 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a varios de sus productos, cuya explotación podría permitir a un atacante comprometer los sistemas afectados.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-dell-0

SQL injection in user.get API (CVE-2024-42327)

Link to Zabbix ID https://support.zabbix.com/browse/ZBX-25623

Mitre ID CVE-2024-42327

CVSS score 9.9
CVSS vector https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Severity Critical
Summary SQL injection in user.get API
Description A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.

Cisco Releases Security Updates for NX-OS Software

12/05/2024 12:00 PM EST

Cisco released security updates to address a vulnerability in Cisco NX-OS software. A cyber threat actor could exploit this vulnerability to take control of an affected system.

CISA encourages users and administrators to review the following advisory and apply the necessary updates:

Cisco NX-OS Software Image Verification Bypass Vulnerability

https://www.cisa.gov/news-events/alerts/2024/12/05/cisco-releases-security-updates-nx-os-software

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-image-sig-bypas-pQDRQvjL

Veeam detecta varias vulnerabilidades en sus productos de Service Provider Console, Backup & Replication y Agent for Microsoft Windows

Fecha 04/12/2024
Importancia 5 - Crítica

Recursos Afectados
Veeam Service Provider Console, versión 8.1.0.21377 y anteriores;
Veeam Backup & Replication, versiones 12, 12.1 y 12.2;
Veeam Agent for Microsoft Windows, versiones 6.0, 6.1 y 6.2.

Descripción
Veeam ha detectado varias vulnerabilidades, entre ellas alguna de severidad crítica, que podrían provocar desde una ejecución de código no deseada o eliminar archivos del servidor hasta manipular los roles asignados a los usuarios tras su autenticación.

https://www.incibe.es/empresas/avisos/veeam-detecta-varias-vulnerabilidades-en-sus-productos-de-service-provider-console

Detectadas varias vulnerabilidades importantes en productos QNAP

Fecha 25/11/2024
Importancia 5 - Crítica

Recursos Afectados
Notes Station 3, versiones 2.9.x;
QNAP AI Core, versiones 3.4.x;
QTS, versiones 5.2.x y QuTS hero, versiones h5.2.x;
QuRouter, versiones 2.4.x;
QuLog Center, versiones 1.7.x y 1.8.x.

Descripción
Se han detectado múltiples vulnerabilidades en varios productos QNAP de gravedad importante. Una explotación con éxito de estas vulnerabilidades puede poner en riesgo los sistemas. Actualiza a la última versión indicada por el fabricante para cada tipo de producto afectado.

https://www.incibe.es/empresas/avisos/detectadas-varias-vulnerabilidades-importantes-en-productos-qnap

Hackers abuse Avast anti-rootkit driver to disable defenses

A new malicious campaign is using a legitimate but old and vulnerable Avast Anti-Rootkit driver to evade detection and take control of the target system by disabling security components.

The malware that drops the driver is a variant of an AV Killer of no particular family. It comes with a hardcoded list of 142 names for security processes from various vendors.

Since the driver can operate at kernel level, it provides access to critical parts of the operating system and allows the malware to terminate processes.

https://www.bleepingcomputer.com/news/security/hackers-abuse-avast-anti-rootkit-driver-to-disable-defenses/

Múltiples vulnerabilidades en el core de Drupal

Fecha 21/11/2024
Importancia 4 - Alta

Recursos Afectados
Versiones del core de Drupal:

7 con el módulo Overlay habilitado;
8.0.0 y superiores hasta la anterior a 10.2.11;
10.3.0 y superiores hasta la anterior a 10.3.9;
11.0.0 y superiores hasta la anterior a 11.0.8.

Descripción
Varios investigadores del equipo de seguridad de Drupal han reportado 6 vulnerabilidades que afectan al core, siendo 1 de severidad alta, 4 medias y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante realizar Cross Site Scripting (XSS), comprometer la integridad de la información, borrar archivos arbitrarios y ejecutar código remoto.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-el-core-de-drupal